La recente tempesta di blog compromessi per diffondere spam link nei motori di ricerca più diffusi (riferimenti: [1] [2] [3] [4] [5]) mi ha portato a fare alcune considerazioni, non tutte positive. Anzi.
Avere un sito web oggi è veramente semplice. Anche senza spendere un centesimo, ci sono siti che offrono spazio web e possibilità di creare anche pagine dinamiche, con PHP o simili, con o senza database, gratuitamente.
Anche acquistare un nome (www.qualcosa.net) con relativo spazio di pubblicazione è alla portata di quasi tutti. Con una manciata di Euro è possibile registrarsi il nome, avere lo spazio web ed un certo numero di caselle di posta personalizzate.
Dal lato gestione e creazione dei contenuti il panorama è lo stesso. Esistono decine di software per creare il proprio blog, partendo da WordPress per finire con un semplice editor di testo, per chi ama il fai da te estremo, tutti a costo zero.
Insomma improvvisarsi webmaster è cosa fatta. Ma, e qui l’asino si sfracella, i problemi nascono quando succedono cose che su Internet sono all’ordine del giorno: una intrusione, un tentativo di sfruttare qualcosa nel nostro sito web per fare cose certamente poco corrette dal punto di vista etico.
Come si può vedere dall’articolo pubblicato poco prima di questo, anche usando un software molto collaudato i problemi possono insorgere da una gestione poco accorta. Gestione che richiede delle competenze non certo gratuite. Nel senso che acquisirle costa tempo e fatica, e non bastano un paio di articoletti letti qua e là.
Il problema è molto sottovalutato, e molti webmaster mancano di alcune competenze basilari, mancanza che mette di fronte a rischi gravissimi, ben più di un semplice 500 Internal server error. Supponiamo che il nostro sito web contenga un software molto diffuso per gestirne i contenuti, proprio come WordPress. Uso questo nome perché ben conosciuto, ma è importante capire che nessun software è esente da questo tipo di problemi. E quando dico nessuno intendo proprio nessuno.
Tornando alla situazione in ipotesi: si scopre che il software scelto per il nostro sito contiene un errore che permette di inserire file nel sito e di eseguirli come parte del software stesso. La nostra responsibilità è quella di fare in modo che nessuno possa sfruttare questo errore, e quindi il nostro sito, per danneggiare altri.
La soluzione più semplice è, naturalmente, aggiornare il software non appena disponibile la versione corretta. Nel frattempo, se l’errore è effettivamente molto grave, sul sito del produttore del software dovrebbero essere pubblicati dei metodi per diminuire il rischio di essere colpiti (bucati come si dice a volte) o per limitare il danno.
Tutto lineare, logico e condivisibile, no?
No. Manco per niente. Quello che succede nella realtà è ben altro. E posso parlarne con cognizione di causa, visto che nell’indagare al problema dei siti compromessi in WordPress pieni di spam link ho tentato di avvertire oltre cento persone.
Di queste solo poche hanno risposto e corretto il problema, una percentuale risibile. Molti siti sono abbandonati a sé stessi da mesi o anni, ed il proprietario/webmaster non ha pubblicato sul sito nessun contatto per essere rintracciato. Ovviamente, come ultima ratio finisce che si lascia un commento nel blog, ma è rischioso, perché se i commenti non sono moderati è come mettere una freccia al neon alta 10 metri con su scritto “questo sito è vulnerabile”.
Moltissimi non rispondono ai messaggi, e sì che ho badato bene a non nominare i soliti farmaci, come pure ho cercato di evitare alcune parole chiave tipiche dello spam, per evitare filtri antispam troppo zelanti. Mi sembrava di essere in una partita di Taboo, il gioco in cui devi far indovinare una parola senza dire una serie di termini palesemente correlati con la parola stessa. Per esempio se la parola è “balena”, non puoi dire mammifero, mare, Moby Dick, Achab e via così.
Per non parlare di reazioni “piccate” di alcuni, che hanno avuto reazioni simili a chi si sente spiato.
Ma la cosa più frustrante è che molti di questi siti appartengono a grafici, sviluppatori e webmaster, quindi persone che, verosimilmente, hanno dimestichezza con Internet ed in generale con tutto quello che comporta organizzare un sito web.
Naturalmente occorre mettere in conto che la reazione normale ad uno sconosciuto che ti scrive per avvertire che il tuo sito web contiene “cose strane” può andare dall’incredulità all’indifferenza (ma che vuole ‘sto tizio?), fino alla diffidenza (indagavi sul mio sito?). Questo è assolutamente comprensibile.
Quello che è incomprensibile è gestire un sito prono a possibili infiltrazioni da parte di malintenzionati ignorando le possibili conseguenze di questa leggerezza. Nei casi da me esaminati l’intruso si è limitato a queste attività:
- Diffondere spam link attraverso il posizionamento nei motori di ricerca dei blog violati.
- Redirigere i visitatori ai siti “commissionari” dello spam
Il primo problema è che alcuni dei siti su cui si viene rediretti tentano di iniettare malware attraverso il browser dei visitatori. Il secondo problema è che chiunque si veda iniettare malware può facilmente pensare che il sito colpevole è quello che lo ha rediretto sul sito trappola. Tocca al proprietario del sito dimostrare che il codice che effettua la ridirezione non è stato messo intenzionalmente dal proprietario stesso del sito, ma è il risultato di una violazione del sito. E, credetemi, non è proprio facilissimo dimostrarlo.
C’è un altro aspetto, molto più inquietante. Se chi ha violato il sito, forte del fatto che il proprietario non si accorge di nulla e non pone rimedio, decide di “vendere” il sito già scardinato a qualcun altro, le cose potrebbero farsi molto più interessanti. A quel punto, niente potrebbe fermare uno spammer dallo spedire messaggi a tutto il mondo, o archiviare software pirata sul server, o ospitare una raccolta di immagini tali da essere illegali in tutto il mondo o quasi. Oppure usare il sito per ospitare applicazioni trappola, da usare per attacchi di phishing, o per diffondere malware in grado di costruire una botnet. Insomma, solo la fantasia limita le possibilità di fare birbonate.
Nei siti violati che ho personalmente esaminato le tecniche utilizzate mettono ragionevolmente al sicuro il responsabile dell’attacco con l’uso di metodi tesi a lasciare pochissime tracce, quali ad esempio eseguire comandi passati attraverso un form, metodo che nasconde i comandi eseguiti, anche ai log del server su cui il sito è ospitato. Quello che appare all’esterno è che un sito attaccato attraverso il nostro riporta nei log del proprio server tutte le indicazioni che l’attacco è venuto dal nostro sito, mentre nel server che ospita il nostro sito non c’è quasi nulla. Il risultato è che sta di nuovo a noi dimostrare che l’attacco non è condotto da noi.
Il pensare che si è poco importanti per essere attaccati è una pia illusione: in questo tipo di attacchi quello che si cerca non è il sito importante e “visibile”, ma semplicemente un sito pulito da sfruttare, un po’ come quando viene rubata una utilitaria per commettere un furto, e si sceglie il modello più comune col colore più diffuso. In questo caso meno il sito è noto, e visitato, meglio è. Unica eccezione è quando lo scopo è di fare link spam, dove serve un sito ben piazzato nei motori di ricerca per rendere più visibili i link abusivi nelle pagine dei risultati di ricerca.
Concludendo, il messaggio è che se da un lato è semplice ed alla portata di tutti fare il proprio sito web, non è altrettanto semplice e privo di rischi trovarsi a fronteggiare quello che in gergo si chiama incidente di sicurezza. La gestione di una simile eventualità deve essere tempestiva ed efficace, senza trascurare la possibilità che chi ha violato il nostro sito sia già riuscito a commettere qualche crimine sfruttando la situazione.
Paura? Bene, vuol dire che qualcosa è giunto a destinazione.
#1 da Francesco il 30 May 2008 - 01:11
Salve, sono una di quelle persone che ha subito degli attacchi del genere nel proprio sito, e condivido con tutto quello che è stato scritto. Anzi ringrazio anche che ci siano persone come lei che si occupano di far fronte a queste particolari “intrusioni” tenendo la gente informata. Spero si arrivi a qualcosa che possa mettere sempre in seria difficoltà chi cerca di rovinare il lavoro fatto da altri con sudore e fatica.
Grazie ancora.
#2 da Mario Pascucci il 30 May 2008 - 16:36
@Francesco
Purtroppo sarà sempre molto difficile proteggere il proprio lavoro. Il software, in quanto prodotto dell’ingegno umano, è sempre suscettibile di essere sovvertito ed usato per scopi tutt’altro che etici.
L’importante è tenere alta la guardia.
A proposito, grazie di nulla, è il mio lavoro.